Сравнение корпоративных средств защиты удаленного доступа

Дата: 29.07.2020. Автор: Ангара Технолоджиз Груп. Категории: Сравнения средств защиты информации

Мир диктует нам свои правила, и цифровая среда адаптируется под его изменения. Глобализация открыла перспективы удаленной работы для сотрудников, а пандемия превратила этот тренд в необходимость не только для компаний, которые находятся на пике технологий, но и для большей части бизнеса в мире. Организации, которые не успели адаптироваться к новым реалиям, оказались в аутсайдерах.

При этом вопросы обеспечения безопасности стали еще более острыми. Тем более что в кризис они отходят на второй план, а злоумышленники прекрасно понимают, что вынужденные временные решения по удаленному доступу, внедренные без должного внимания к организации их защиты, для многих компаний могут остаться постоянными, и это их слабое место.

Именно поэтому сейчас крайне важно перейти на полноценное решение по защите удаленного доступа. И так как критерии выбора у каждого предприятия свои (кому-то важно наличие дополнительных функций защиты, кому-то – сертификации), то для выбора подходящего инструмента мы предоставляем подробное сравнение популярных в корпоративной среде продуктов по удаленному доступу (Таблица 1).

Таблица 1

Критерий Cisco Any ConnectPalo Alto GlobalProtectFortiNet FortiClientCheck Point Endpoint SecurityКонтинент АПКШVipNet S-terraUserGate
Полноценный IPSEC VPN клиент и используемая технология VPNWindows
MAC
Linux 
Windows
MAC
Linux
Windows
MAC
Linux 
Windows
MAC
Linux 
Windows
Linux 
Windows
MAC
Linux 
Windows
Linux 
Используется L2TP/IPSec
русскоязычный интерфейс ПО пользователя нет (ограничено)нетнетдадададаДа
Доступны аппаратная, виртуальная реализации криптошлюзададададанет,
только аппаратная
дадаДа. Поддерживаются основные гипервизоры (Hyper-V, VMWare, VirtualBox, XEN, KVM)
проверка клиента на соответствие политикам безопасности (наличие обновлений, антивируса итд)да (с доп. средствами вендора) да даданетнетнетНет
Поддержка функции Split Tunnel – вариант маршрутизации не всего трафика в туннельдададададададаДа. Для Windows нативно, для других платформ – через настройку клиента
поддержка L2TP (для подключения нативным клиентом ОС Windows,MAC, Android, iOS и только функции VPN)данетдаданетнетнетДа
поддержка режима VPN через SSL/TLS (для доступности VPN из фильтруемых сетей)дададададоступно через отдельные решения ГОСТ TLSДа, в функционале веб-портал
поддержка фильтрации трафика (МЭ) на уровне ПО VPN клиентаданет (для этого используется отдельное решение вендора (Traps/Cortex)дададанетнетНе применимо
Web application type based policy внутри VPN туннеля (исключить youtube итд) или Per App VPNдадададанетнетнетФильтрация трафика и приложений на уровне шлюза, в том числе и на L7. На клиенте – нет
Встроенные в клиент дополнительные функции защиты:нет (частично доступны с интеграцией с Cisco AMP)нет (для этого используется отдельное решение вендора (Traps/Cortex)даданетограниченнонетНе применимо
  – антивирусной защиты,доступно с интеграцией с Cisco AMPнетдаданетнетнетНе применимо
 – шифрования данных при хранении на жестком дискенетнетнетданетданетНе применимо
 – контроля и защиты внешних устройствнетнетдаданетданетНе применимо
 – криптографически защищенная почтанетнетнетда (мобильный вариант песочницы Capsule Workspace)нетданетНе применимо
Обратный RDP до клиента (для тех.поддержки)дададададададаДа
наличие у производителя клиента для мобильных устройств (Android, iOS)дададада (Capsule)даданетПоддерживаются встроенные в мобильные ОС клиенты
Много факторная аутентификация при подключении (Х.509, токены, интеграции с каталогами LDAP, Radius итд)да да дадада (рутокен, eTocken, Jakarta, Esmart)да (рутокен, eTocken, Jakarta, Esmart)да (рутокен, eTocken, Jakarta)TOTP через SMS
Поддержка одноразовых паролей на уровне криптографического шлюза нетнетнетда (one-time pass -код генератор)нетнетнетДа
SSL портал для доступа к Web-приложения компаниидадададаЕсть вариант TLS-шлюзовДа
ГОСТ VPNнетнетда (с КритоПро с ограничениями)да (с КритоПро с ограничениями)дададаНет
ГОСТ SSL VPNнетнетнетнетдададаВ версии 6.х
сертификация ФСТЭКнетнетнетдадададаДа
сертификация ФСБнетнетнетнетдададаНет
Интеграция с агентами песочницы производителяда (Cisco AMP + Threadgrid)да (Traps + Wildfire)дада (CheckPoint Sandblast)нетнетнетЧерез ICAP
кластеризация шлюза Active-StandbyдададададададаДа
кластеризация шлюза Active-ActiveдадададанетнетнетДа
интеграция с облачными платформами (Amazon AWS, MS Azure, и др)да (Cisco CSR 1000)дададанетс ограниченияминетДа
функция роуминга для мобильного VPN – переподключение при разрыве соединениядадададанетнетнетДа

В целом все решения сейчас реализуют основной функционал, имеют возможности интеграции с SIEM-системами и встроенные средства мониторинга. Существуют нюансы в технических реализациях и поддерживаемых функциях (например, защита DNS), различия в моделях лицензирования. Так, ПО VPN клиента отдельного производителя хорошо интегрируется с существующими решениями по защите этого же производителя: Cisco AnyConnect интегрируется с Cisco ISE и имеет полноценную поддержку 802.1х, а VipNet имеет отдельный клиент для защиты почтового трафика по алгоритмам ГОСТ – VipNet «Деловая почта». В основном реализации российских вендоров и зарубежных по основным критериям имеют схожий функционал. И выбор между решениями можно сделать на основе уже существующего в компании комплекса сетевой защиты, требуемой производительности, технических деталей, факторов удобства администрирования, наличия персонала, технической поддержки и т. д.

Автор: Анна Михайлова, системный архитектор группы компаний Angara.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Ангара Технолоджиз Груп

Об авторе Ангара Технолоджиз Груп

Группа компаний Angara, представленная системным интегратором Angara Technologies Group и сервис-провайдером Angara Professional Assistance, оказывает полный спектр услуг по информационной безопасности: поставку оборудования и ПО, проектирование, внедрение, сопровождение ИТ- и ИБ-систем клиентов, а также предлагает востребованные сервисы по обеспечению информационной безопасности по модели подписки.
Читать все записи автора Ангара Технолоджиз Груп

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *